Nuevo ransomware obliga a los equipos a reiniciar en modo seguro burlando la seguridad

El Ransomware es un programa diseñado para encriptar datos importantes por parte de un atacante, con el fin de solicitar un intercambio de algo valioso, por lo general suele ser dinero o criptomonedas. Este tipo de ataque a sido tendencia durante los últimos años desde el nacimiento del Bitcoin, la costosa moneda de intercambio virtual libre y "anónima" preferida por los ciberdelincuentes.

El reciente ransomware denominado por un grupo de investigadores “Snatch”, tiene una particularidad diferente que la hace muy peligrosa, la cual es de forzar al Sistema Windows a reiniciar, entrar en modo seguro (donde normalmente las herramientas de seguridad están deshabilitadas) y realizar la encriptación de la información.

Los investigadores al realizar el seguimiento distinguieron la entrada del atacante, el cual fue mediante fuerza bruta hacia una cuenta con privilegios de administrador de un servidor de Microsoft Azure. Con la finalidad de iniciar sesión usando la interfaz Remote Desktop “RDP”. Al tener control sobre el servidor Azure, este fue usado como apoyo para moverse lateralmente hacia otros equipos, entre ellos, el controlador de dominio (Domain Controller “DC”), tomándose la tarea de vigilar la red y exfiltrar información. Una vez el hacker selecciona su objetivo, donde descarga el ransomware Snatch y realiza su instalación en un tiempo aparentemente aleatorio que puede ser unos pocos días o semanas.

Una vez descargado el ejecutable, el ransomware se instala como un servicio llamado “SuperBackupMan” y su descripción pone “This service make backup copy every day” (mensaje que puede ayudar en burlar la entrada en la lista de servicios), poseyendo propiedades que impiden al usuario detener su proceso de ejecución, inmediatamente reiniciará la máquina, donde iniciará en modo seguro y encriptará la información sin la resistencia de protección de algún agente de seguridad.

Desde Arkavia Networks recomendamos:
  1. No dejar sin protección la interfaz Remote Desktop, en especial hacia internet.
  2. Proteger sus credenciales, en especial las usadas en herramientas de escritorio remoto (VNC, TeamViewer, etc).
  3. Implementar múltiples factores de autenticación para los usuarios con privilegios administrativos.
  4. Mantener monitoreado los equipos que posean información de importancia.

COMENTARIOS

Nombre

Actualización,1,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,APP,1,Apple,16,Apps,13,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,5,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,132,Ciberdelincuencia,8,ciberseguridad,131,Cisco,2,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,6,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,1,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,3,elasticsearch,1,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Exchange,2,exploit,6,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Gmail,1,GoDaddy,1,google,32,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,Macromedia,1,Malware,41,Malwares,32,Messenger,1,MFA,1,Microsoft,34,Mirai,2,mongoDB,1,MSP,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,Protocolos,12,Python,1,QNAP,1,QR,1,Ransomware,17,RAT,1,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,4,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,27,Vulnerabilidades,75,Web,7,WhatsApp,5,wifi,5,Windows,17,Wordpress,4,Xerox,1,XG,1,zeroday,2,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nuevo ransomware obliga a los equipos a reiniciar en modo seguro burlando la seguridad
Nuevo ransomware obliga a los equipos a reiniciar en modo seguro burlando la seguridad
https://1.bp.blogspot.com/-V7vJWxK1VmA/XfOgKXb2wSI/AAAAAAAABw4/51J9Z3Fmgx0hnwvM4fOksCXDsyxPANYXwCLcBGAsYHQ/s640/n1.jpg
https://1.bp.blogspot.com/-V7vJWxK1VmA/XfOgKXb2wSI/AAAAAAAABw4/51J9Z3Fmgx0hnwvM4fOksCXDsyxPANYXwCLcBGAsYHQ/s72-c/n1.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/12/nuevo-ransomware-obliga-los-equipos.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/12/nuevo-ransomware-obliga-los-equipos.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy